Escanear gratis
HIGHCVE-2026-41225CVSS 7.2

CVE-2026-41225: RCE en F5 BIG-IP 16.1.0–21.0.0.2

Plataforma

linux

Componente

bigip

Corregido en

21.0.0.2

Ver en NVD
Guardar

Se ha identificado una vulnerabilidad de ejecución remota de código (RCE) en iControl REST de F5 BIG-IP. Esta falla permite a un atacante autenticado con al menos el rol de Administrador, crear objetos de configuración que permiten la ejecución de comandos arbitrarios en el sistema. La vulnerabilidad afecta a las versiones 16.1.0 hasta la 21.0.0.2. La solución recomendada es actualizar a la versión 21.0.0.2 o superior.

Impacto y Escenarios de Ataque

La explotación exitosa de esta vulnerabilidad podría permitir a un atacante tomar el control completo del sistema F5 BIG-IP. Esto implica la capacidad de modificar la configuración, acceder a datos sensibles, instalar malware y potencialmente moverse lateralmente a otros sistemas dentro de la red. Dado que iControl REST se utiliza para la gestión y automatización de la infraestructura de red, el impacto de esta vulnerabilidad es significativo. Un atacante podría, por ejemplo, utilizar esta vulnerabilidad para desviar el tráfico, interceptar comunicaciones o realizar ataques de denegación de servicio (DoS). La severidad de esta vulnerabilidad se asemeja a la de otras vulnerabilidades de RCE en dispositivos de gestión de red, donde el compromiso puede tener consecuencias devastadoras.

Contexto de Explotación

La vulnerabilidad CVE-2026-41225 fue publicada el 13 de mayo de 2026. La probabilidad de explotación se considera media, dado que requiere autenticación y un rol de administrador. No se han reportado públicamente exploits activos ni campañas de explotación a la fecha. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad relacionada con esta vulnerabilidad. La vulnerabilidad no se encuentra en el KEV (Known Exploited Vulnerabilities) catalogado por CISA.

Inteligencia de Amenazas

Estado del Exploit

Prueba de ConceptoDesconocido
CISA KEVNO
Exposición en InternetAlta

CISA SSVC

Explotaciónnone
Automatizableno
Impacto Técnicototal

Vector CVSS

INTELIGENCIA DE AMENAZAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H7.2HIGHAttack VectorNetworkCómo el atacante alcanza el objetivoAttack ComplexityLowCondiciones necesarias para explotarPrivileges RequiredHighNivel de autenticación requeridoUser InteractionNoneSi la víctima debe realizar una acciónScopeUnchangedImpacto más allá del componente afectadoConfidentialityHighRiesgo de exposición de datos sensiblesIntegrityHighRiesgo de modificación no autorizada de datosAvailabilityHighRiesgo de interrupción del servicionextguardhq.com · Puntuación Base CVSS v3.1
¿Qué significan estas métricas?
Attack Vector
Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
Attack Complexity
Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
Privileges Required
Alto — se requiere cuenta de administrador o privilegiada.
User Interaction
Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
Scope
Sin cambio — el impacto se limita al componente vulnerable.
Confidentiality
Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
Integrity
Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
Availability
Alto — caída completa o agotamiento de recursos. Denegación de servicio total.

Software Afectado

Componentebigip
ProveedorF5
Versión mínima16.1.0
Versión máxima21.0.0.2
Corregido en21.0.0.2

Clasificación de Debilidad (CWE)

CWE-648

Cronología

  1. Reservado
  2. Publicada
  3. Modificada

Mitigación y Workarounds

La mitigación principal para esta vulnerabilidad es actualizar a la versión 21.0.0.2 o superior de F5 BIG-IP, donde se ha solucionado el problema. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales. Restringir el acceso a iControl REST solo a usuarios autorizados y con privilegios mínimos es crucial. Implementar reglas en un firewall de aplicaciones web (WAF) o proxy inverso para bloquear solicitudes maliciosas que intenten explotar la vulnerabilidad. Monitorear los registros de iControl REST en busca de actividad sospechosa, como la creación de objetos de configuración inusuales. Considerar la posibilidad de deshabilitar temporalmente iControl REST si no es esencial para las operaciones.

Cómo corregirlotraduciendo…

Actualice a una versión corregida de F5 BIG-IP. Las versiones afectadas incluyen 16.1.0, 17.1.0 a 17.1.3.1, 17.5.0, 21.0.0 a 21.0.0.1 y 21.1.0. Consulte la documentación de F5 para obtener instrucciones detalladas de actualización y mitigaciones temporales.

Preguntas frecuentes

What is CVE-2026-41225 — RCE en F5 BIG-IP?

CVE-2026-41225 es una vulnerabilidad de ejecución remota de código (RCE) en iControl REST de F5 BIG-IP que permite a un atacante autenticado ejecutar comandos arbitrarios en el sistema.

Am I affected by CVE-2026-41225 in F5 BIG-IP?

Si está utilizando F5 BIG-IP en las versiones 16.1.0 hasta la 21.0.0.2, es probable que esté afectado por esta vulnerabilidad.

How do I fix CVE-2026-41225 in F5 BIG-IP?

La solución recomendada es actualizar a la versión 21.0.0.2 o superior de F5 BIG-IP. Si no es posible, implementar medidas de mitigación como restringir el acceso a iControl REST.

Is CVE-2026-41225 being actively exploited?

A la fecha, no se han reportado públicamente exploits activos ni campañas de explotación, pero se recomienda monitorear la situación.

Where can I find the official F5 advisory for CVE-2026-41225?

Consulte el sitio web de F5 Networks para obtener la información oficial y las actualizaciones sobre esta vulnerabilidad: [https://www.f5.com/](https://www.f5.com/)

¿Tu proyecto está afectado?

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratisBuscar CVEs
liveescaneo gratuito

Pruébalo ahora — sin cuenta

Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.

Escaneo manualAlertas en Slack/emailMonitoreo continuoReportes white-label

Arrastra y suelta tu archivo de dependencias

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...